《会计信息化教程》第十三章：计算机审计

第十三章计算机审计

学习目标：通过本章的学习,我们需要掌握信息系统审计的基本业务内容计算机审计的几种主要技术；计算机审计的基本方法；计算机信息系统内部控制的审计；计算机信息系统功能的审计；计算机信息系统数据文件的审计；113.1计算机审计的发展

13.1.1计算机审计的相关概念

一般认为，计算机审计既包括审计单位使用信息技术进行审计，也包括对被审计单位使用的计算机信息系统所进行的审计。换言之，只要审计单位和被审计单位两方中有一方使用信息技术进行审计和数据处理，都可以称作计算机审计。213.1.1计算机审计的相关概念(续）计算机审计也有一个动态发展的过程，最早的计算机审计主要是基于财务报表审计展开的，而其应用技术也主要以计算机技术为主，随着时代的发展，计算机审计已经发展为面向信息系统的审计，其应用技术也在不断扩展，例如目前的网络技术的应用。313.1.1计算机审计的相关概念(续）网络审计：网络审计主要包括电子商务审计与网誉审计等内容。信息系统审计与网络审计是计算机审计发展过程中的具体表现形式。计算机审计是一个广义的概念，4

13.1.2计算机审计的发展国外计算机审计的发展

1974年美国会计师协会(AICPA)发布了《EDP对审计人员研究和评价内部控制的影响》《计算机处理对检查财务报表的影响》从1984年开始，国际审计准则实务委员会就陆续批准发布与计算机审计有关的审计准则，例如，《国际审计准则15电子数据处理环境下的审计》（1984年2月）、《国际审计准则16计算机辅助审计技术》（1984年10月）和《国际审计准则20电子数据处理环境对会计制度和有关的内部控制研究与评价的影响》（1985年6月）513.1.2计算机审计的发展（续）国际会计准则委员会（IASC）于1999年12月发布了《互联网上的财务报告》（InternetFinancialReporting）的研究报告。澳大利亚审计与鉴证准则委员会（AustralianAuditandAssuranceStandardBoard，AASB）于1999年颁布了审计指导声明（AGS）1050《与电子方式呈报财务报告相关的审计问题》。613.1.2计算机审计的发展（续）英国审计职业委员会（APB）2001年1月颁布了《网上发布审计报告公告》美国注册会计师协会（AICPA）下属的审计准则委员会(APB)于2001年发布第94号准则《IT对CPA评价内部控制的影响》2000年3月，国际审计实务委员会(IAPC)通过了与计算机信息系统环境有关的4项IAPS的征求意见稿713.1.2计算机审计的发展（续）国内计算机审计的发展：1993年9月，审计署发布了《审计署关于计算机审计的暂行规定》，提出电算化会计信息系统审计的基本标准。1996年底，审计署发布了《审计机关计算机辅助审计办法》，明确规定了计算机辅助审计的基本内容与范围，计算机辅助审计人员的资格，以及计算机辅助审计应注意事项。813.1.2计算机审计的发展（续）1999年6月，财政部发布了《独立审计准则第20——计算机信息系统环境下的审计》2001年12月16日，国务院办公厅发布了《关于利用计算机信息系统开展审计工作有关问题的通知》2004年审计署发布了《审计信息化工作指导意见》2006年2月15日，财政部在京举行会计审计准则体系发布会，发布了39项企业会计准则和48项注册会计师审计准则913.2计算机审计技术

对于计算机信息系统的审计，尽可能采用信息技术进行审计可以最大程度地降低审计风险。当然，这种采用信息技术去对计算机信息系统进行的审计需要比采用传统审计技术要复杂得多。目前采用的主要技术有：模拟数据测试、整合测试工具（ITF）、并行模拟、审计软件、嵌入式审计程序、扩展记录、抽点转储、跟踪、审核系统文档、控制流程图、制图等几种。限于篇幅，以下主要介绍测试数据、并行模拟、审计软件和嵌入式审计等技术。1013.2.1模拟拟数据测试试技术模拟数据测测试技术包括设计一一组有效数数据和无效效数据的输输入。在计计算机处理理这些数据据之前，这这些模拟数数据事先由由人工加以以设计，并并应由人脑脑通过计算算机等方法法确定其的的处理结果果。然后再再将这些模模拟数据输输入到计算算机信息系系统之中，，运行该系系统后将其其与先前人人脑计算的的处理结果果核对，如如果结果一一致，说明明该计算机机处理是正正确的，否否则就说明明可能是计计算机处理理有问题。。不足：一是其运运行结果总总是难以满满足审计人人员的要求求；二是难难以消除模模拟数据及及其运行结结果对被审审计系统的的影响1113.2.2并行行模拟技术术所谓并行模模拟技术，，则是指采采用测试的的应用程序序或审计软软件去处理理真实数据据，将处理理结果同被被审单位原原有的处理理结果相核核对的一种种并行技术术。与模拟数据据测试数据据技术不同同的是，并并行模拟技技术采用的的是“真数数据、测试试软件”做做法，而模模拟数据测测试技术则则是“测试试数据，真真实软件””在被审单单位信息系系统运行的的做法。为了保证并并行模拟结结果的可信信度，测试试程序或审审计软件进进行模拟运运行的业务务选用时间间应当是能能够反映被被审单位完完整业务类类型的期间间1213.2.3审计计软件技术术目前审计软软件一般具具有法规查查询、数据据转换、账账表生成、、账证抽样样、工作底底稿、审计计报告生成成、信息输输出等功能能模块。随着智能化化技术应用用的深入，，人工智能能审计软件件辅助审计计可望实现现。在许多国外外会计公司司中，正在在研究一种种工作将神神经网络与与专家系统统合二而一一的审计软软件包，使使得智能技技术能够更更好地为审审计服务。。1313.2.4嵌入入式审计技技术对于那些具具有高风险险的应用程程序，采用用嵌入式审审计模块（（程序）特特别有效。。所谓嵌入入式审计模模块，是指指为了审计计用途而修修改计算机机程序的一一种审计技技术。其审审计处理的的对象只有有真实数据据而无测试试数据。嵌嵌入式审计计模块（程程序）能够够使易于消消失的或无无法采用事事后分析的的文档得到到更多的监监控与验证证。由于其其采用嵌入入式，因而而使审计人人员在任何何时候都可可采集到样样本资料，，并且在系系统的正常常运行过程程中进行数数据采集。。1413.3计计算机审绕绕过计算机机的审计方方法绕过计算机机的审计方方法在20世纪60年代初期期国外审计计界十分盛盛行。所所谓绕过计计算机，就就是将计算算机信息系系统看作是是一个“黑黑箱”，审审计时不考考虑这一““黑箱”所所发挥的作作用，而是是令计算机机把全部会会计凭证、、账簿和报报表打印出出来，再按按传统的手手工审计的的方法进行行审计。优点：对审审计人员的的计算机水水平要求不不高缺点：可能能存在许多多审计风险险，影响审审计师恰当当与公允判判断1513.3.1绕过过计算机的的审计方法法（续）如何完善这这种审计方方法：过实地运行行被审单位位的计算机机信息系统统，从中观观察系统可可能存在的的问题及其其对输出结结果的影响响通过实地运运行被审单单位的计算算机信息系系统，可以以观察到系系统运行过过程内部控控制的实施施状况1613.3.2穿透透计算机的的审计方法法穿透计算机机的审计，，就是指直直接对计算算机信息系系统的输入入、处理与与输出全过过程进行审审查评价的的审计方法法。穿透计算机机审计，才才可能从根根本上解决决计算机信信息系统审审计难、风风险大的问问题。穿透计算机机审计，关关键是要有有审计软件件的开发与与应用，使使用审计软软件对被审审单位进行行审计，可可以达到事事半功倍。。穿透计算算机审计是是未来审计计采用的主主要方法17利利用用计计算算机机的的审审计计方方法法利用用计计算算机机的的审审计计方方法法,也也称称为为计计算算机机辅辅助助审审计计法法。。计计算算机机辅辅助助审审计计可可以以定定义义为为，，以以计计算算机机为为工工具具，，使使用用适适当当的的计计算算机机软软件件，，辅辅助助审审计计人人员员完完成成审审计计任任务务的的行行为为的的一一种种方方法法。。穿透透计计算算机机审审计计，，主主要要是是面面对对被被审审单单位位的的计计算算机机信信息息系系统统所所进进行行的的审审计计，，而而计计算算机机辅辅助助审审计计范范围围则则不不仅仅局局限限于于对对一一个个系系统统的的审审计计，，它它可可以以包包括括审审计计单单位位办办公公自自动动化化。。利用用计计算算机机审审计计的的方方式式：：实实时时联联系系方方式式；；软软件件联联系系方方式式1813.4计计算算机机信信息息系系统统内内部部控控制制的的审审计计我国国《《独独立立审审计计具具体体准准则则第第20号号————计计算算机机信信息息系系统统环环境境下下的的审审计计》》要要求求注注册册会会计计师师在在研研究究和和评评价价一一般般控控制制时时，，应应当当考考虑虑被被审审单单位位的的组组织织与与管管理理控控制制、、应应用用系系统统开开发发和和维维护护控控制制、、计计算算机机操操作作控控制制、、系系统统软软件件控控制制，，以以及及数数据据与与程程序序控控制制等等主主要要因因素素。。同同时时要要求求注注册册会会计计师师在在研研究究和和评评价价应应用用控控制制时时，，应应当当考考虑虑输输入入控控制制、、计计算算机机处处理理与与数数据据文文件件控控制制和和输输出出控控制制等等主主要要因因素素等等。。审审计计人人员员对对内内部部控控制制的的审审查查与与评评价价一一般般按按三三个个步步骤骤进进行行，，即即初初步步了了解解、、符符合合性性测测试试和和内内部部控控制制的的评评价价。。19内内部部控控制制的的初初步步了了解解与与描描述述审计计人人员员通通过过询询问问、、实实地地观观察察、、查查阅阅系系统统的的文文档档资资料料，，以以及及对对一一些些基基本本业业务务处处理理过过程程的的跟跟踪踪，，最最后后以以文文字字描描述述、、调调查查表表和和流流程程图图等等方方法法对对初初步步了了解解的的情情况况加加以以详详细细记记载载。。特特别别应应当当了了解解的的是是企企业业对对网网络络安安全全控控制制是是如如何何进进行行的的，，其其有有效效性性达达到到何何种种程程度度。。同同时时，，被被审审单单位位的的信信息息系系统统管管理理制制度度的的制制定定与与实实施施情情况况，，也也应应当当纳纳入入审审计计人人员员初初步步了了解解的的范范围围之之中中。。20符符合合性性测测试试一般般控控制制的的测测试试应用用控控制制的的测测试试21对对内内部部控控制制的的评评价价当符符合合性性测测试试完完成成之之后后，，审审计计人人员员可可以以对对被被审审单单位位的的内内部部控控制制是是否否达达到到应应有有的的控控制制目目标标以以及及是是否否存存在在重重大大缺缺陷陷提提出出评评价价意意见见。。一般般控控制制的的审审查查结结果果如如何何，，将将影影响响以以下下的的实实质质性性测测试试的的计计划划。。一一般般地地说说，，如如果果内内部部控控制制健健全全，，控控制制质质量量高高，，其其控控制制风风险险就就越越小小，，因因而而其其后后的的实实质质性性测测试试的的工工作作量量就就少少，，反反之之，，如如果果内内部部控控制制失失控控、、内内部部控控制制的的薄薄弱弱环环节节多多，，气气候候的的实实质质性性测测试试的的工工作作量量就就要要增增大大。。2213.5计计算算机机信信息息系系统统功功能能的的审审计计所谓谓计计算算机机信信息息系系统统功功能能，，是是指指计计算算机机信信息息系系统统的的处处理理功功能能和和控控制制功功能能。。其其中中的的处处理理功功能能，，也也即即是是信信息息系系统统的的输输入入、、处处理理与与输输出出等等对对经经济济业业务务处处理理过过程程所所具具的的功功能能，，而而控控制制功功能能则则是是指指保保证证系系统统安安全全运运行行所所建建立立的的各各个个程程序序化化的的控控制制功功能能。。由由此此可可以以看看到到，，计计算算机机信信息息系系统统功功能能的的审审计计，，也也就就包包括括对对计计算算机机信信息息系系统统的的处处理理功功能能和和控控制制功功能能进进行行的的审审计计。。2313.5.1系统合法法性与完整性性的审查会计信息系统统合法性审查查：在我国实施施商品化会计计核算软件评评审的时期内内，我国有近近300个软软件通过财政政部门组织的的评审会计信息系统统的完整性：它包括三个个方面：一是是信息系统应应处于正常的的运行状态；；是在正常常运行状态下下，信息系统统对业务活动动有数据电文文信息、附属属信息和系统统环境信息的的完整记录；；三是电子子记录必须在在业务活动的的当时或即后后制作2413.5.2系统处理理功能运行正正确性和完整整性审查在一个会计软软件,特别是是一个ERP软件之中,系统处理功功能的设置绝绝非几个功能能模块的简单单组合如SAPR3的会计子系统统首先从模块块设计入手，，将会计核算算、财务管理理和管理会计计融为一体。。对于各处理理功能模块的的正确性审查查，就要审阅阅系统设计说说明书，实地地检查各功能能模块的运行行过程，并通通过检查各功功能模块的处处理结果，判判断处理功能能的正确性。。在审计会计计核算子系统统之际，则要要根据会计凭凭证、账簿和和会计报表之之间的勾稽关关系的正确性性判断系统运运行的可信度度。25系统安全控制制的有效性审审查系统安全控制制，包括计算算机信息系统统自身的控制制和系统对网网络技术的应应用的控制两两个方面被审单位的计计算机信息系系统的功能的的合法性，系系统处理功能能运行正确性性和完整性，，以及系统安安全控制的有有效性等方面面的审查至关关重要。三者者的审查缺一一不可。而要要对计算机信信息系统的各各项功能详加加审查，又必必须采用各项项计算机审计计技术，诸如如上一节所介介绍的模拟数数据测试、并并行模拟测试试、审计软件件以及嵌入式式审计等技术术。2613．6计计算机信息系系统数据文件件的审计13．6．1数据文件审审计的基本内内容计算机信息系系统数据文件件的审查一般般列入实质性性测试的范畴畴之中。实质质性测试是针针对被审单位位信息所进行行的测试，而而符合性测试试则一般是针针对被审单位位系统所进行行的